Win32.Troj.PswWow.a是一個盜取魔獸遊戲密碼的木馬病毒,病毒採用進程注入的方式運行,具有很高的隱蔽性。
基本介紹
- 中文名:木馬
- 外文名:Win32.Troj.PswWow.a
- 用途:盜取魔獸遊戲密碼的木馬病毒
- 處理時間:2006-05-26
簡介,病毒行為,
簡介
Win32.Troj.PswWow.a
病毒別名: 處理時間:2006-05-26 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
1. 該木馬病毒本身是一個動態連結檔案,不能自主運行,必須通過木馬釋放器進行載入。
2. 木馬釋放器(毒霸可查,Win32.Troj.PswWow.d.212480)將該木馬釋放並拷貝到系統盤根目錄下。命名為main.dat,然後利用explorer.exe、iexplore.exe等系統進程進行載入,將木馬拷貝到系統目錄下,命名為KB896445.log並利用rundll32.exe將該木馬建立為系統服務,在註冊表中會留下以下鍵值:
[HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="rundll32 KB896445.log,start"
"DisplayName"="Network Logon"
"ObjectName"="LocalSystem"
"Description"="支持網路上計算機遠程登入事件。如果此服務被停用,網路登入將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。"
3. 當病毒以系統服務形式運行時,會嘗試將自身注入explorer.exe、iexplore.exe以及wow.exe進程。監視用戶視窗,竊取遊戲相關信息。
